Phishing og offentlig kommunikasjon — hvorfor lenker i e-post er et sikkerhetsproblem
Phishing og offentlig kommunikasjon — hvorfor lenker i e-post er et sikkerhetsproblem
«Du har fått et brev fra NAV. Klikk her for å lese det.»
Meldinger som dette sendes millionvis av ganger hvert år fra norske offentlige aktører. De er ekte. Men de trener nordmenn til en vane som svindlere utnytter: å klikke på lenker i e-post og SMS fra avsendere de stoler på.
Problemet: Ekte meldinger skaper falsk trygghet
Norske innbyggere mottar jevnlig e-poster og SMS-er med lenker fra NAV, Skatteetaten, kommunen, banken og helsetjenesten. Meldingene er autentiske og nyttige. Men de etablerer et mønster: «Når en offentlig aktør sender meg en lenke, klikker jeg på den.»
Svindlere vet dette. Phishing-meldinger som utgir seg for å være fra NAV, Skatteetaten eller banker, bruker nøyaktig samme format: «Du har en ny melding. Klikk her.» Forskjellen mellom en ekte og en falsk melding er ofte umulig å se for vanlige brukere.
Risikovurderingsplikten
Digitalsikkerhetsloven § 7 krever at tilbydere av samfunnsviktige tjenester gjennomfører risikovurdering og iverksetter «hensiktsmessige og proporsjonale tekniske og organisatoriske sikkerhetstiltak». § 10 stiller tilsvarende krav for tilbydere av digitale tjenester.
Ekomloven § 3-1 krever at tilbydere tilbyr elektroniske kommunikasjonstjenester med «forsvarlig sikkerhet» og skal vurdere evnen til å motstå hendelser som påvirker konfidensialitet og integritet.
Ekomloven § 2-4 gir hjemmel for å stille krav som «forebygger og begrenser mengden av massedistribuerte elektroniske meldinger, ondartet programvare og lignende».
Samlet innebærer dette en plikt til å vurdere om kommunikasjonsformater — inkludert bruk av lenker i e-post og SMS — bidrar til sikkerhet eller svekker den.
Hvorfor selv ekte lenker er et problem
Argumentet er ikke at NAV eller Skatteetaten sender farlige lenker. Argumentet er at formatet — «her er en lenke, klikk på den» — skaper en tillitskultur som svindlere utnytter.
Å skille ekte fra falske lenker krever teknisk kompetanse som de fleste innbyggere ikke har. URL-er kan maskeres, avsenderadresser kan forfalskes, og profesjonelle phishing-sider er visuelt identiske med de ekte.
For sårbare grupper — eldre, personer med nedsatt kognitiv funksjon, innvandrere med begrenset norskkunnskaper — er risikoen ekstra stor. Paradoksalt nok er dette de samme gruppene som offentlige tjenester har størst plikt til å beskytte.
Anti-phishing by design vs. anti-phishing by policy
De fleste organisasjoner forsøker å bekjempe phishing med policy: «Ikke klikk på mistenkelige lenker.» «Sjekk avsenderadressen.» «Vi sender aldri lenker med …»
Problemet med policy er at den krever at hvert enkelt menneske gjør riktig vurdering, hver gang, i hver melding. Det er en urealistisk forventning — spesielt for de mest sårbare brukerne.
Anti-phishing by design er fundamentalt annerledes: i stedet for å be brukeren om å vurdere om en lenke er ekte, fjernes lenker helt fra kommunikasjonsmodellen.
En modell der avsender gir mottaker en kode verbalt, og mottaker selv navigerer til en nettside og taster inn koden, eliminerer phishing-vektoren strukturelt. Det finnes ingen lenke å forfalske, ingen e-post å kopiere, ingen SMS å imitere.
Hva offentlige aktører kan gjøre
Kortsiktig: Informer innbyggerne om at du aldri sender lenker for sensitive dokumenter. Bruk konsistente formuleringer som gjør det lett å identifisere ekte meldinger.
Mellomlang sikt: Vurder alternative kommunikasjonsmodeller for sensitive dokumenter der lenker ikke inngår. Gjennomfør risikovurdering etter Digitalsikkerhetsloven §§ 7/10 som eksplisitt adresserer phishing-risiko.
Langsiktig: Innfør kommunikasjonsarkitekturer som eliminerer phishing-vektoren by design — ikke bare by policy.
Risikovurderingen tilsier endring
Digitalsikkerhetsloven krever ikke at offentlige aktører slutter å sende lenker. Men den krever at de gjennomfører en risikovurdering der phishing-risikoen ved lenkeutsendelse vurderes — og at de iverksetter tiltak som er proporsjonale med risikoen.
Gitt omfanget av phishing-angrep rettet mot nordmenn, og gitt at sårbare grupper er spesielt utsatt, tilsier en slik risikovurdering at alternative kommunikasjonsmodeller bør vurderes — i hvert fall for de mest sensitive dokumentene.
Rettskilder brukt i denne artikkelen
- Digitalsikkerhetsloven §§ 7, 10
- Ekomloven §§ 2-4, 3-1, 3-2
- Ekomforskriften §§ 2-1, 2-2
Relaterte artikler
- Sikker dokumentoverføring uten BankID
- Hvorfor du ikke bør sende sensitive dokumenter per e-post
- Anti-phishing by design: Hvorfor vi aldri sender lenker
- Det juridiske rammeverket for sikker digital dokumentoverføring
Håkon Haugen er praktiserende verge og grunnlegger av envei.no.
Håkon Haugen
Praktiserende verge og grunnlegger av envei.no
Trenger du å sende dokumenter sikkert?
Prøv envei gratis →